そのID/Passはすでに漏れている?会員サイトに危機が迫る
Eコマースやネットバンキングなど、Webサイトがビジネスの中核となっている企業は数多い。こうした企業が必ず直面する課題が、不正アクセスや不正ログインだ。
特にIDとパスワードを不正に抜き取り、正規のユーザーに成りすましてログインする「アカウントテイクオーバー(ATO:Account Takeover)」(アカウント乗っ取り)は、会員サイトを運営している企業にとって対策が難しい攻撃である。
その理由の1つが、攻撃者がすでに漏えいしたアカウントを使って攻撃を仕掛けるためだ。ダークウェブでは、さまざまなWebサイトで漏えいしたアカウント情報が売買されており、リストを手にした攻撃者は、それを使って会員サイトにログインを試みる。
もしユーザーがIDやパスワードなどのアカウント情報を使い回していた場合は、自社で漏えいが起きていなくとも、情報流出やポイント・クレジットカードの不正使用といった被害が発生してしまい、責任を問われることになる。
ユーザーに対してアカウント情報を使い回さないよう警告したとしても、それで100%使いまわしを防ぐことは不可能だろう。
攻撃者の多くは、手に入れた漏えいアカウントのリストとボットを組み合わせて、効率的に攻撃を仕掛けてくるため、多要素認証、たとえば簡単なパズルを解かせて人間であることを識別するCAPTCHAなどはよく知られた対策の1つであるが、それよりも根本的な解決となるのは、アクセスしてきたアカウントが漏えいしているかどうかを判断することだ。
この記事の続き >>
・アカウント漏えいを瞬時に判定する方法
・金融、保険、Eコマース、ゲーム、医療などの分野で導入が進む
・セキュリティ強化だけでなく、顧客エンゲージメント向上にも貢献